CISCO中4種方法封鎖/限制BT下載

方法1:封鎖BT端口
　　大家都知道如果要限制某項服務,就要在路由器上設置ACL(訪問控制列表)將該服務所用的端口封掉,從而阻止該服務的正常運行.對BT軟件, 我們可以嘗試封它的端口.一般情況

下,BT軟件使用的是6880-6890端口,小金在公司的核心路由器上使用以下命令將6880-6890端口全部封鎖.
　　access-list 101 deny tcp any any range 6880 6890
　　access-list 101 deny tcp any range 6880 6890 any
　　access-list 101 permit ip any any
　　接着進入相應的端口,輸入ip access-group 101 out 使訪問控制列表生效.配置之後,網絡帶寬就會馬上釋放出來,網絡速度得到提升.
　　但是,沒過幾天網絡速度又減慢了,BT軟件的端口明明被封了,什麼軟件還在佔用大量的帶寬呢,使用SNIFFER檢測到幾個不常用的端口的數據流量非常大,原來很多人使用第三方的BT軟件(如比特精靈,BITCOMET)進行下載,這些軟件可以自定義傳輸數據的端口,修改爲沒有被封的端口後又可以進行 BT下載了.
　　(注:缺點,由於BT端口變化較大,所以用ACL封端口收效甚微,而且配置條數多執行起來比較費勁,另外大量的ACL也佔用了路由器的CPU資源,影響了其它服務
　　優點:利用訪問控制列表ACL封鎖BT比較好管理,配置起來也很容易,使用相對而言比較靈活.通過ACL可以有效非常有效封鎖官方BT軟件)
方法2:封鎖BT服務器
　　既然無法有效的從本地端口進行封鎖,那麼只好從遠程目標的地址入手.在進行BT下載時,本機首先要連接遠端的BT服務器,從服務器下載種子列表再連接相應的種子,所以從各大BT論壇下載BT種子,以便獲得BT服務器的地址.啓動BITCOMET後選擇服務器列表,在TRACKER服務器處可以看到BT服務器的地址,如(bt.ydy.com)接着通過NUSLOOKUP或者PING命令
可以得到服務器地址爲202.103.X.X
　　獲得服務器地址後就可以到核心服務器上對該地址進行封鎖.具體命令爲:access-list 102 deny tcp any 202.103.9.83 0.0.0.0
　　最後小金在網絡出口端口上運行ip access-group 102 out 命令後,使該訪問控制列表生效,這樣網內用戶就不能訪問這個BT服務器了,同時該服務器提供的所有BT種子都無法使用,接下來,收信更多的的BT服務器的 IP地址,將它們一一添加到控制列表102裏,看着員工啓動第三方的BT軟件後連接種子數爲0,下載速 度也爲0的時候,終於鬆了一口氣。
　　沒過多久,公司再次出現網絡運行緩慢的問題,小金通過監控系統發現又有人通過BITCOMET下載電影,雖然速度不如從前,但仍佔用了相當大的帶寬,是什麼原因使用戶又可以連接BT服務器呢,原來,在訪問列表中使用的IP地址進行過濾,而一旦BT服務器的IP地址發生了變化,針對IP地址的封鎖就沒有用了。
　　(缺點:BT服務器很多,要找到每個服務器的IP地址然後進行封鎖非常麻煩,而且也容易漏掉某些服務器,訪問控制列表只能封鎖IP地址不能封鎖域名,對於IP地址經常變化的BT服務器來說,封鎖是比較煩的.
　　優點:該方法能有效的封鎖大批的BT服務器,網管通過簡單的管理服務器IP地址就能封鎖禁止BT軟件的使用,對於自定義端口的BT軟件起到了非常有效的封鎖作用)
方法3:加載PDLM模塊
　　使用CISCO公司出品的PDLM模塊可以省去我們配置路由策略的工作,封鎖效果非常好.上文介紹的兩種方法.一個是對數據包使用的端口進行封鎖,一個是對數據包的目的地址進行封鎖,雖然在一定範圍內有效,但不能起到全面禁止BT的作用,通過PDLM+N BAR的方法來封鎖BT就不存在這個問題了.
　　CISCO在其官方網站提供了三個PDLM模塊,分別爲KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA,BT,電驢,在此我們就封鎖BT下載爲例,
　　建立一個TFTP站點,將bittorrent.pdlm複製到該站點,在覈心路由器中使用ip nbar pdlm t[url]ftp://TFTP[/url]站點的IP/bittorrent.pdlm命令加載bittorrent.pdlm模塊
　　接下來設置路器策略,具體命令如下:
　　class-map match-any bit
　　//創建一個CLASS_MAP名爲BIT
　　match protocol bittorrent
　　//要求符合模塊bittorrent的標準!
　　policy-map limit-bit
　　//創建一個POLICY-MAP名爲LIMIT-BIT
　　class bit
　　//要求符合剛纔定義的名爲BIT的CLASS-MAP
　　drop
　　//如果符合則丟數據包!
　　interface gigabitEthernet0/2
　　//進入網絡出口那個接口
　　service-policy input limit-bit
　　//當有數據包進入時啓用LIMIT-BIT路由策略
　　service-policy output limit-bit
　　//當有數據包出的時候啓用LIMIT-BIT路由策略
　　如果不想每次啓動路由器的都要手工加載TFTP上的bittorrent.pdlm,可以把這個PDLM文件上傳到路由器的FLASH中,然後選擇 TFTP服務器的IP地址即可.提示:封鎖KAZAA或者是EDONKEY時,在路由器配置中將"match protocol後的bittorrent替換爲KAZAA2或者EDONKEY即可,其它配置和封鎖BT一樣,
　　通過NBAR加載PDLM模塊法封鎖BT軟件後,已經完全斷絕了公司內部的BT使用,所有員工都能安心工作,網絡速度也恢復到以前的穩定值了,
　　(缺點:該方法配置起來相對麻煩,指令非常多,而且路由器每次啓動都要重新指定PDLM文件,如果將PDLM文件上傳到路由器的FLASH中又會佔用不少空間,通過路由策略進行封鎖BT軟件的同時也會佔用路由器大量的CPU與內存的資源,影響了數據包的傳輸速度。優點:通過該方法可以徹底封鎖BT下載)

方法4：限制速度。
我們也可以利用CISCO路由器特有NBAR來進行控制BT。NBAR (Network-Based Application Recognition) 的意思是網絡應用識別。 NBAR 是一種動態能在四到七層尋找協議的技術，它比ACL功能強大，不但能做到普通 ACL 能做到那樣控制靜態的、簡單的網絡應用協議 TCP/UDP 的端口號，也能做到控制一般 ACL s不能做到使用動態的端口的那些協議，而BT就是使用動態端口的。
要實現對 BT 流量的控制，就要在CISCO的路由器上實現對 PDLM（Packet Description Language Module ） 的支持。 PDLM的意思是數據包描述語言模塊。它是一種對網絡高層應用的協議層的描述，例如協議類型，服務端口號等。它可以讓 NBAR 適應很多已有的網絡應用， 同時它還可以通過定義，來使 NBAR 支持許多新興的網絡應用，並且利用 PDLM 可以限制一些網絡上的惡意流量。 PDLM 在思科的網站上可以下載，下載後，可以通過 TFTP 服務器將 bittorrent.pdlm 拷貝到路由中。
1、定義bt協議：
ip nbar pdlm bittorrent.pdlm
2、定義Class-map和policy－map
class-map match-all bit
match protocol bittorrent

policy-map limit-bit
class bit
police cir 240000
conform-action transmit
exceed-action drop

police cir 8000
conform-action transimit
exceed-action drop
5）應用到接口上實行限速：
interface fastethernet 0/1
service-policy input limit-bit (下載）
service-policy output limit-bit(上傳）
ip nat outside
interface fastethernet 0/0
ip nat inside

ip nat inside list 1 pool nbar-pool overload
access-list 1 permit any
ip nat pool nbar-pool


其中8000 < 1k
80000 < 4k 5k, 5k 5k
160000 < 16K, 13K
240000 <=22k, 24K
800000 <=80K <100K